qeep talking #36

Show notes

Nu Kees Hintzbergen actief is als zelfstandige wist Renco hem te strikken voor de podcast. In deze afleveringen gaat het wederom over leveranciersmanagement, maar dan specifiek over het opleggen van eisen aan softwareleveranciers (en wat te denken van de software broker). Kees ontwikkelde daarvoor een wizard/tool en licht toe hoe die te gebruiken in relatie tot de bestaande processen en instrumenten. Enne, Kees ga je nog wel eens vaker horen (=teaser ja).

Web player

Lees je dit in je mailbox en werkt de web player niet?
Luister de aflevering dan hier (of in je favo podcast app).

Videopodcast

Podcast samenvatting

Van BIO naar Cyberbeveiligingswet: wat leg je op aan je leverancier?

Renco ontvangt Kees Hintzbergen, jarenlang werkzaam bij de Informatiebeveiligingsdienst (IBD) voor gemeenten en nu gestart met PDCS, een adviesbureau opgericht door vier oud-IBD'ers. Na een korte kennismaking over het zelfstandig ondernemerschap gaat het gesprek over een concreet probleem: welke beveiligingseisen leg je als overheidsorganisatie op aan je leveranciers?

De hele BIO over de schutting gooien werkt niet

Renco ergert zich al langer aan overheidsorganisaties die in hun programma van eisen simpelweg de hele BIO opleggen aan een commerciële leverancier. Die leverancier is helemaal niet gehouden aan de 'O' van overheid. Kees deelt die frustratie en heeft een concrete tool ontwikkeld: een leverancierswizard of inkoopmatrix. Die vertaalt de wettelijke ondergrens naar eisen die specifiek zien op de inkooprelatie — dus alleen het deel dat relevant is bij het afnemen van diensten of producten.

Wettelijke ondergrens via de Cyberbeveiligingswet

Kees is enthousiast over de Cyberbeveiligingswet (Cbw), gebaseerd op de Europese NIS2-richtlijn. Waar informatiebeveiliging bij de overheid tot nu toe draaide om "verplichtende zelfregulering", komt er nu echte wetgeving. De NIS2 beschrijft tien aandachtsgebieden (artikel 21) die Kees bewust geen maatregelen noemt — het zijn eerder thema's waaruit concrete maatregelen voortvloeien. De BIO2 geeft daar voor de overheid invulling aan en dekt daarmee de zorgplicht af.

Risicomanagement versus het verplichte lijstje

Renco legt een spanning bloot die hij ook in zijn Cbw-trainingen aan directeuren tegenkomt. De BIO2 hamert op risicomanagement en een ISMS op basis van ISO 27001. Dat suggereert speelruimte. Tegelijk bevat de BIO2 een flinke lijst verplichte overheidsmaatregelen. Wat is het nou: compliance of risicomanagement? Kees kiest duidelijk: het is risicomanagement. Als je iets niet doet, moet je dat kunnen motiveren. Een toezichthouder zoals de RDI kan daar achteraf naar kijken, vergelijkbaar met hoe de Autoriteit Persoonsgegevens dat doet bij datalekken.

Baselines slim opbouwen

Kees legt uit hoe je een baseline kunt opbouwen. Je voert voor drie of vier primaire processen een risicoanalyse uit, legt de uitkomsten over elkaar en destilleert daaruit je grootste gemene deler. Dat wordt je baseline. De IBD is overgestapt van de zware MAPGOOD-methode naar een aanpak op basis van een Business Model Canvas: één A4, begrijpelijk voor proceseigenaren, en breder dan alleen informatiebeveiligingsrisico's. Renco merkt op dat dit ook helpt bij het draagvlak — managers worden moe van al die I-mensen die apart aankloppen.

Het brokerprobleem

Veel overheidsorganisaties besteden hun ICT-inkoop niet individueel aan maar werken met een software broker. Renco ziet daar een probleem: contractueel zit die broker ertussen, maar de feitelijke software komt van een achterliggende leverancier. Wie is dan verantwoordelijk voor de beveiligingseisen? Kees ziet juist een kans: de broker kan zijn klanten ontzorgen door zelf te controleren of achterliggende leveranciers aan de eisen voldoen. Bij DigiD gebeurt iets vergelijkbaars al, waar Logius controles laat uitvoeren bij de serviceorganisaties in plaats van bij duizenden individuele aansluithouders.

Samen controleren

De IBD is vorig jaar gestart met een pilot "samen controleren", waarbij gemeenten gezamenlijk met een geharmoniseerde eisenset bij softwareleveranciers toetsen. Dat lost twee dingen op: de leverancier krijgt één consistent lijstje in plaats van honderden varianten, en een onafhankelijke partij geeft een soort stempel dat de leverancier voldoet. Kees noemt ook de Cyber Resilience Act (CRA), een Europese wet die eind dit jaar minimale beveiligingsnormen stelt aan producten met een ICT-component.

Renco sluit af met de observatie dat je als organisatie niet alles tegelijk kunt doen. Begin bij de wettelijke ondergrens en kijk dan waar het schip strandt. De afkortingensoep — Cbw, CRA, BIO2, NIS2 — smaakt naar een vervolggesprek. En dat gaat er zeker komen.

Postcast website

Alle afleveringen van qeep posted zijn (ook) te vinden op de speciale podcast website. Via deze site vind je ook de links naar Apple Podcasts, Spotify, YouTube, en meer. Gebruik je liever een andere app? Geen probleem: je vindt er ook de directe RSS feed.